?

一、HTTP和HTTPS的基本概念:

　　HTTP:超文本傳輸協(xié)議（英文：HyperText Transfer Protocol，縮寫：HTTP）是一種用于分布式、協(xié)作式和超媒體信息系統(tǒng)的應用層協(xié)議1。HTTP是萬維網(wǎng)的數(shù)據(jù)通信的基礎。設計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。通過HTTP或者HTTPS協(xié)議請求的資源由統(tǒng)一資源標識符（Uniform Resource Identifiers，URI）來標識。

　　HTTPS：超文本傳輸安全協(xié)議（英語：Hypertext Transfer Protocol Secure，縮寫：HTTPS，常稱為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種通過計算機網(wǎng)絡進行安全通信的傳輸協(xié)議。HTTPS經(jīng)由HTTP進行通信，但利用SSL/TLS來加密數(shù)據(jù)包。HTTPS開發(fā)的主要目的，是提供對網(wǎng)站服務器的身份認證，保護交換數(shù)據(jù)的隱私與完整性。這個協(xié)議由網(wǎng)景公司（Netscape）在1994年首次提出，隨后擴展到互聯(lián)網(wǎng)上。歷史上，HTTPS連接經(jīng)常用于萬維網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。在2000年代晚期和2010年代早期，HTTPS開始廣泛使用于保護所有類型網(wǎng)站上的網(wǎng)頁真實性，保護賬戶和保持用戶通信，身份和網(wǎng)絡瀏覽的私密性。

二、HTTP與HTTPS有什么區(qū)別？

　　1、https協(xié)議需要到ca申請證書，一般免費證書較少，因而需要一定費用。

　　2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，比http協(xié)議安全。

　三、HTTPS的工作原理:

　　我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級別較高的服務都會采用HTTPS協(xié)議。

　　HTTP 包含如下動作：

　　1. 瀏覽器打開一個 TCP 連接

　　2. 瀏覽器發(fā)送 HTTP 請求到服務器端

　　3. 服務器發(fā)送 HTTP 回應信息到瀏覽器

　　4. TCP 連接關閉

　　SSL 包含如下動作：

　　1. 驗證服務器端

　　2. 允許客戶端和服務器端選擇加密算法和密碼，確保雙方都支持

　　3. 驗證客戶端(可選)

　　4. 使用公鑰加密技術來生成共享加密數(shù)據(jù)

　　5. 創(chuàng)建一個加密的 SSL 連接

　　6. 基于該 SSL 連接傳遞 HTTP 請求

四、HTTPS的優(yōu)點

　　1、客戶端產(chǎn)生的密鑰只有客戶端和服務器端能得到；

　　2、加密的數(shù)據(jù)只有客戶端和服務器端才能得到明文；

　　3、客戶端到服務端的通信是安全的。

　　另外谷歌曾在2014年8月份調整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結果中的排名將會更高”。

五、HTTPS的局限/缺點

　　1、HTTPS比HTTP耗費更多服務器資源（https其實就是建構在SSL/TLS之上的 http協(xié)議，所以要比較https比http多用多少服務器資源，主要看SSL/TLS本身消耗多少服務器資源。）

　　2、耗費的資源多，過程也復雜，想當然訪問不如HTTP高效。大流量網(wǎng)站非必要也不會采用，流量成本太高。

　　3、HTTPS并不能防止站點被網(wǎng)絡蜘蛛抓取。在某些情形中，被加密資源的URL可僅通過截獲請求和響應的大小推得，這就可使攻擊者同時知道明文（公開的靜態(tài)內容）和密文（被加密過的明文），從而使選擇密文攻擊成為可能。

　?。?、SSL證書需要錢，功能越強大的證書費用越高，個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。

　　５、SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。